Esecuzione tramite InstallUtil: Signed Binary Proxy Execution - InstallUtil (T1218.004)

La simulazione di questa tecnica richiede la creazione di un assembly .NET contenente il codice da eseguire. Il primo passo consiste nel compilare un semplice installer malevolo che sfrutti l'attributo RunInstaller.

C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe /target:library /out:test.dll test.cs

Il codice C# deve includere una classe decorata con l'attributo appropriato. Una volta compilato l'assembly, l'esecuzione avviene tramite InstallUtil con sintassi minimale che spesso passa inosservata.

C:\Windows\Microsoft.NET\Framework64\v4.0.30319\InstallUtil.exe /logfile= /LogToConsole=false /U test.dll

I parametri /logfile= e /LogToConsole=false sono cruciali per ridurre le tracce forensi. L'opzione /U (uninstall) viene preferita dagli attaccanti perché genera meno log rispetto all'installazione standard.

Per testare scenari più complessi, è possibile concatenare l'esecuzione con download di payload remoti. Chaes utilizza questa tecnica combinandola con chiamate HTTP per recuperare componenti aggiuntivi. La simulazione può includere assembly che scaricano ed eseguono PowerShell in memoria.

Le varianti includono l'utilizzo di percorsi UNC per caricare assembly da share di rete, aumentando la furtività dell'attacco. Durante i red team engagement, questa tecnica risulta particolarmente efficace contro ambienti con AppLocker configurato per bloccare solo eseguibili non firmati.

La detection di InstallUtil malevolo richiede un approccio multilivello che consideri sia l'esecuzione del binario sia il contesto circostante. Il primo indicatore chiave è l'invocazione di InstallUtil.exe con parametri che puntano a directory non standard.

Sysmon EventID 1 cattura le esecuzioni di processo, permettendo di identificare pattern anomali. La regola deve correlare l'esecuzione di InstallUtil con assembly presenti in %TEMP%, %APPDATA% o altre location sospette.

Il monitoraggio dei processi figli rappresenta un elemento critico. InstallUtil legittimo raramente genera cmd.exe, powershell.exe o rundll32.exe come processi figli. La presenza di questa catena indica con alta probabilità un tentativo di proxy execution.

PowerShell logging (EventID 4104) fornisce visibilità aggiuntiva quando l'assembly eseguito contiene script. La correlazione temporale tra la creazione di un file .dll e la sua immediata esecuzione tramite InstallUtil costituisce un forte indicatore di compromissione.

Per ridurre i falsi positivi, è essenziale costruire una baseline delle esecuzioni legittime nell'ambiente. Gli amministratori utilizzano InstallUtil durante deployment automatizzati, ma questi seguono pattern prevedibili e provengono da account di servizio specifici.

La detection DET0138 suggerisce di monitorare specificamente le esecuzioni dalle directory del framework .NET con assembly non standard. Il tuning deve escludere gli script amministrativi noti mantenendo visibilità sulle deviazioni.

L'analisi forense di InstallUtil richiede l'esame di molteplici artefatti per ricostruire l'intera catena d'attacco. Il punto di partenza è il Prefetch, dove InstallUtil.exe genera tracce che includono i percorsi degli assembly caricati.

Il registro eventi di Windows mantiene tracce dell'esecuzione nei log di Application. Gli eventi relativi all'installazione o disinstallazione di componenti .NET forniscono timestamp precisi e talvolta includono messaggi di errore che rivelano il comportamento anomalo dell'assembly.

WhisperGate ha dimostrato come questa tecnica venga utilizzata per disabilitare Windows Defender. L'analisi dei log di Windows Defender rivela tentativi di modifica delle policy immediatamente successivi all'esecuzione di InstallUtil.

La timeline reconstruction deve considerare la presenza dell'assembly malevolo sul filesystem. L'esame delle entry MFT mostra quando il file è stato creato e da quale processo. Spesso l'assembly viene scaricato tramite browser o PowerShell poco prima dell'esecuzione.

Gli artefatti di esecuzione includono anche le chiavi di registro create o modificate dall'installer malevolo. La cartella temporanea di .NET (C:\Windows\Temp.NETFramework) può contenere residui dell'esecuzione, inclusi file di log parziali.

L'analisi della memoria può rivelare assembly caricati dinamicamente che non esistono più su disco. I dump di processo di InstallUtil.exe catturati durante l'incidente mostrano le strutture .NET in memoria e il codice effettivamente eseguito.

menuPass (APT10) integra InstallUtil nelle sue catene d'attacco multi-stadio, utilizzandolo principalmente dopo aver ottenuto credenziali valide. Il gruppo preferisce questa tecnica per la sua affidabilità nel bypassare controlli di sicurezza in ambienti enterprise giapponesi e americani.

Mustang Panda ha evoluto l'uso di InstallUtil combinandolo con Cobalt Strike. Il gruppo utilizza assembly .NET personalizzati che installano Beacon stager, dimostrando sofisticazione nell'adattare tool commerciali a tecniche di evasione avanzate. Le campagne contro obiettivi nel Sud-Est asiatico mostrano questa combinazione ripetutamente.

L'overlap nei tool tra i gruppi suggerisce la condivisione di TTP o l'utilizzo di servizi comuni di sviluppo malware. Entrambi i gruppi mostrano preferenza per l'uso di InstallUtil nelle fasi intermedie dell'intrusione, dopo la compromise iniziale ma prima del movimento laterale estensivo.

I pattern geografici indicano che questa tecnica viene preferita in regioni con alta adozione di soluzioni EDR. L'efficacia contro prodotti che si basano principalmente su firme statiche la rende attraente per operazioni a lungo termine.

Il trend mostra un'evoluzione verso assembly polimorfi che cambiano comportamento basandosi sull'ambiente di esecuzione. Le versioni più recenti includono controlli anti-sandbox e capacità di persistence integrate direttamente nel codice .NET.

La documentazione completa di questa tecnica è disponibile nel framework MITRE ATT&CK. Le informazioni sui gruppi APT derivano da report di threat intelligence pubblicati relativi alle campagne di menuPass e Mustang Panda. I dettagli tecnici di detection si basano sulle analisi forensi dei malware Chaes, WhisperGate, Saint Bot e del framework Covenant.